Heimnetzwerke - WIFI, LAN, Router und Co 16.556 Themen, 81.659 Beiträge

Verfolgung starten Optionen

Netzwerkgriff auf einen Comp. extr. langsam, Virscans o. Erg.

komasurfer / 16 Antworten / Baumansicht Nickles

Hallo Digi-Engel,
der Netzwerkzugriff von und zu einem von 4 vernetzten Computern ist kaum mehr möglich (extrem langsam oder Abbruch mit "Netzwerk ausgelastet" oder "Netzwerkressource nicht mehr zur Verfügung") Nur der Internetzugriff funktioniert einwandfrei. Kommunikation der anderen Rechner untereinander einwandfrei.
Alle Rechner sind Win98SE oder WinME-Rechner. Alle Netzwerkeinstellungen gleich.
Virenscans lokal mit A-Squared, AVG und Antivir und online mit Trendmicro Housecall waren erfolglos.
Aufbau des Netzwerks:
Zwei Leitungen von Teledat Router 630 zu zwei Switches - an einer Switch hängen drei, an der anderen der Problem-Rechner. Austausch der beiden Switches ergebnislos, ebenso Kabel- und Port-Tausch. Netzwerkkarte (Realtek 8139 A, full duplex): Treiberupdate und Diagnoseprogramm von Realtek ohne Ergebnis.
Netstat Viewer liefert keine Auffälligkeiten, soweit ich das beurteilen kann. Routerdiagnose und -einstellungen ebenfalls nicht.
Allerdings zeigte Netstat gestern abend für einen Moment plötzlich sechs Verbindungen zu Außen-IPs, obwohl ich den Browser nicht mal offen hatte. Eine Überprüfung ergab, dass die IPs zu Domains z. B. vom Bundesaußenministerium, der Stadt Zagreb oder einer Internetagentur gehörten - alles Domains, die keiner hier je aufgerufen hat oder das tun würde. Ähnliches ließ sich bis dato nicht wieder reproduzieren, Netstat zeigte bis jetzt keine solcher "Geisterverbindungen" mehr an. Sollte da doch irgendwo so ein Backdoor-Dings agieren? Aber wo?
Bin mit Nerven und Ideen am Ende. Könnt ihr helfen?
Merci vielmals
Armin

bei Antwort benachrichtigen
cscherwinski komasurfer „Netzwerkgriff auf einen Comp. extr. langsam, Virscans o. Erg.“
Optionen

Hallo,
1. welches Btriebssystem?
2. welche Hardware
3. wie ist die IP-Konfiguration im Netzwerk? Auto (DHCP) oder feste IPs?
4. was sagt ein Ping auf den Router? Antwortzeit?
5. warum läßt Du die Swiches nicht ganz weg und schließt alle PCs an den Router an?

Viel Erfolg wünscht Christian
bei Antwort benachrichtigen
komasurfer cscherwinski „Hallo, 1. welches Btriebssystem? 2. welche Hardware 3. wie ist die...“
Optionen

Hallo Christian,
1. Betriebssystem: hatte ich geschrieben (genauer: Win ME beim Problemrechner)

2. Hardware Problemrechner: P3, 512 MB RAM, Festplatte C 20 GB, Festplatte D,E 80 GB partitioniert, DVD-Brenner, das übliche. Müsstest du was speziell wissen?

3. IP-Adresse: Auto. Wird dann vom Router fest zugewiesen, ist immer die selbe für jeden der 4 Rechner, wie auch in Netstat zu sehen ist.

4. Ping: Hatte ich auch schon dran gedacht, aber vergessen, wie man das macht...Wie macht man das nochmal? ;-)

5. Direkte Verbindung mit Router: Ist bisher aus logistischen Gründen hier schlecht zu machen (Kabellängen- und -salat etc.). Habe aber den Problemrechner mal direkt angeschlossen - ohne Ergebnis...

Thanx
Armin

bei Antwort benachrichtigen
komasurfer Nachtrag zu: „Hallo Christian, 1. Betriebssystem: hatte ich geschrieben genauer: Win ME beim...“
Optionen

Hallo Christian,
habe gepingt!
Der Problemrechner hat 4 Pakete empfangen, gesendet, keine Verluste, Zeit: 0 ms.
Und was sagt mir das jetzt?

bei Antwort benachrichtigen
gelöscht_189916 komasurfer „Hallo Christian, habe gepingt! Der Problemrechner hat 4 Pakete empfangen,...“
Optionen

Hi

Wenn Du mit Viren einigermaßen sicher gehen möchtest, dann versuche mal noch einen Virenscan von CD (WinPE, Knoppix), damit ein Schadprogramm nicht beim Booten aktiv wird und sich tarnt.
Wenn aber nur ein Rechner krankt und nicht alle, vermute ich eher eine Macke an der Netzwerkkarte, ggf. tauschst Du diese mal noch aus.
In den Eigenschaften kannst Du ja mal noch unter TCP/IP nachsehen, ob dort die IP- und DNS-Vergabe auf auto steht. Sollte da etwas Anderes stehen, als das von Dir früher eingegebene, wäre schon mal ein Verdachtsmoment gegeben.
Dann kannst Du ja nochmal abklappern, ob der Arbeitsgruppenname identisch ist und alle Rechner im gleichen Subnetz sind.
Putzig ist eigentlich nur, das es nur einen Rechner betrifft, da aber der Ping zum Router klappt, scheint die Hardware theoretisch in Ordnung zu sein und das Problem im internen Netz zu liegen.
Könntest Du ein ipconfig /all des betroffenen Rechners einstellen und evtl. mal noch einen Rechner im Netz anpingen, vielleicht läßt sich da über die Laufzeit was finden?

bei Antwort benachrichtigen
komasurfer gelöscht_189916 „Hi Wenn Du mit Viren einigermaßen sicher gehen möchtest, dann versuche mal...“
Optionen

Hallo fakiauso,
danke für die Tipps. Eigenschaften TCP/IP stehen auf "DNS deaktivieren" (ist wohl "Auto")und "IP-Adresse automatisch beziehen". Arbeitsgruppenname ist identisch.
Was meint aber "Subnetz" und wo sehe ich das?
Bei IPCONFIG wird's merkwürdig.
Beim Befehl ipconfig /all gibt er mir nur die möglichen Befehlsparameter von ipconfig selbst aus (so, als hätte ich auf irgendeinen Syntax-Hilfeknopf gedrückt).
Bei ipconfig ohne Parameter nennt er an erster Stelle (0 Ethernet Adapter) die korrekten Daten für IP-Adresse (übereinstimmend mit der Routerzuweisung), Subnet Mask und Standard-Gateway (= Router-Adresse). An zweiter Stelle (1 Ethernet Adapter)steht dann unter IP-Adresse und Subnet Mask nur 0.0.0.0 und unter Standard-Gateway gar nichts.
Bei den anderen Rechnern sind die Daten in der Reihenfolge 0 und 1 umgekehrt.
Leider kann ich nichts genaueres über das Ergebnis von ipconfig /all bei den anderen Rechnern sagen, weil das so schnell durchrauscht und ich immer nur den letzten Abschnitt sehen kann. Lang ist's her, seit ich das letzte Mal mit DOS-Befehlen hantiert habe. Gab es da nicht irgendeinen Parameter zur abschnittsweisen Ausgabe?
Leider habe ich versehentlich auch noch die Vollbildansicht vom Command-Fenster aktiviert und weiß nicht mehr, wie ich die wieder rückgängig machen kann.
Gibt es übrigens eine Möglichkeit den ausgegebenen Text im Dos-Fenster rauszukopieren?

bei Antwort benachrichtigen
cscherwinski komasurfer „Hallo fakiauso, danke für die Tipps. Eigenschaften TCP/IP stehen auf DNS...“
Optionen

Hallo,
dann geh doch mal in den Gerätemanager und deinstalliere die Netzwerkkarte.
Diese wird nach einem Systemneustart von Windows gleich wieder neu installiert.
Gut möglich daß es dann wieder flott läuft!

Viel Erfolg wünscht Christian
bei Antwort benachrichtigen
shrek3 komasurfer „Hallo fakiauso, danke für die Tipps. Eigenschaften TCP/IP stehen auf DNS...“
Optionen

Hallo komasurfer,

gebe in der Eingabeaufforderung diesen abgewandelten Befehl ein:

ipconfig /all >ipconfig.txt

Bewirkt, dass das Ergebnis in eine Textdatei gespeichert wird, dessen Inhalt du nun kopieren und in deine nächste Antwort einfügen kannst.

Beachte, dass die Textdatei in dem Verzeichnis abgespeichert wird, von wo aus du den ipconfig-Befehl eingegeben hast.

Gruß
Shrek3

Fatal ist mir um das Lumpenpack, das, um Herzen zu rühren, den Patriotismus trägt zur Schau, mit all seinen Geschwüren. Heinrich Heine
bei Antwort benachrichtigen
gelöscht_189916 shrek3 „Hallo komasurfer, gebe in der Eingabeaufforderung diesen abgewandelten Befehl...“
Optionen

Hallo komasurfer

DNS müßte aber m.E. aktiviert sein, damit die Umsetzung von Namen in eine IP funktioniert.
Subnetz bedeutet, das alle Rechner im gleichen Netz sein müssen, also 192.168.0.x, wobei ja x für die IP steht.
Läuft jetzt ein PC z.B. im Subnetz mit 192,168.2.x, dann kommst Du nicht mehr auf den Router, sollte das durch irgendein "Tool" verstellt sein, dann klappt auch die Kommunikation innerhalb des Netzes nicht mehr von PC zu PC.
Aus der Eingabeaufforderung kommst Du eigentlich mit Esc raus oder Du gehst mit Alt+Tab in den Anwendungsumschalter, das müßte bei ME ja auch schon so sein.

fakiauso

bei Antwort benachrichtigen
komasurfer gelöscht_189916 „Hallo komasurfer DNS müßte aber m.E. aktiviert sein, damit die Umsetzung von...“
Optionen

Hallo, danke zwischendrin fürs Engagement und die Tipps!

@shrek3,@Fakiauso:
Mit dem Parameter >xxx.txt hats geklappt.
Es sind alle Rechner im selben Subnetz.
(Im folgenden habe ich einige konkrete Adressen mit x und y anonymisiert).
Hier das Ergebnis für den Problemrechner bei Eingabe von ipconfig /all:
--------------------------------------------------
Windows IP Configuration

Command line options:

/All - Display detailed information.

/Batch [file] - Write to file or ./WINIPCFG.OUT

/renew_all - Renew all adapters.

/release_all - Release all adapters.

/renew N - Renew adapter N.

/release N - Release adapter N.
-----------------------------------------------------

Hier das Ergebnis für den Problemrechner bei Eingabe von ipconfig (ohne Parameter):
-----------------------------------------------------
Windows IP-Konfiguration

0 Ethernet Adapter :



IP-Adresse. . . . . . . . . : 192.168.1.xx

Subnetmask . . . . . . . . : 255.255.255.0

Standard-Gateway . . . . . . : 192.168.1.1



1 Ethernet Adapter :



IP-Adresse. . . . . . . . . : 0.0.0.0

Subnetmask . . . . . . . . : 0.0.0.0

Standard-Gateway . . . . . . :
-------------------------------------------------

Im Gegensatz dazu bei einem der anderen Rechner:

-------------------------------------------------
Windows 98 IP-Konfiguration



Hostname . . . . . . . . . : XYZ

DNS-Server . . . . . . . . : 192.168.1.1

Knotentyp . . . . . . . . . : Broadcast

NetBIOS-Bereichs-ID . . . . :

IP-Routing aktiviert. . . . : Nein

WINS-Proxy aktiviert. . . . : Nein

NetBIOS-Aufl”sung mit DNS . : Nein



0 Ethernet Adapter :



Beschreibung. . . . . . . . : PPP Adapter.

Physische Adresse . . . . . : xx-xx-xx-xx-xx-xx

DHCP aktiviert. . . . . . . : Ja

IP-Adresse. . . . . . . . . : 0.0.0.0

Subnet Mask . . . . . . . . : 0.0.0.0

Standard-Gateway . . . . . . :

DHCP-Server . . . . . . . . : 255.255.255.255

Erster WINS-Server . . . . :

Zweiter WINS-Server . . . :

Gltig seit. . . . . . . :

Gltig bis . . . . . . . :



1 Ethernet Adapter :



Beschreibung. . . . . . . . : Realtek 8139-series PCI NIC

Physische Adresse . . . . . : xx-xx-xx-xx-xx-xx

DHCP aktiviert. . . . . . . : Ja

IP-Adresse. . . . . . . . . : 192.168.1.xy

Subnet Mask . . . . . . . . : 255.255.255.0

Standard-Gateway . . . . . . : 192.168.1.1

DHCP-Server . . . . . . . . : 192.168.1.1

Erster WINS-Server . . . . :

Zweiter WINS-Server . . . :

Gltig seit. . . . . . . : 27.10.08 09:22:10

Gltig bis . . . . . . . : 30.10.08 09:22:10
-----------------------------------------------

Alle Einstellungen sind die selben, wie seit Jahren, es hat sich nichts verändert.

@fakiauso/Eingabeaufforderung:
Esc hat bei mir merkwürdigerweise nicht geklappt. Habe aber entdeckt, dass man über "Taskleiste > rechte Maustaste/Eigenschaften > Reiter Bildschirm" das Fenster einstellen kann.

bei Antwort benachrichtigen
shrek3 komasurfer „Hallo, danke zwischendrin fürs Engagement und die Tipps! @shrek3,@Fakiauso: Mit...“
Optionen

Was mir gar nicht gefällt, dass es auf dem fragwürdigen Rechner nicht mehr möglich ist, den DNS-Server zu ermitteln.

Da hätte ich angesichts der Tatsache, dass Computer-Kriminelle ihre gekaperten Rechner gerade dadurch ständig in ihrer Kontrolle haben, indem jede Webanfrage über deren DNS-Server läuft, gar kein gutes Gefühl mehr.

Dazu passt auch, dass der Befehl "netstat" mehrere Außenverbindungen zu Domains meldete, die keiner von euch aufrufen würde.

Ein Beispiel für einen gekaperten PC:
http://www.nickles.de/thread_cache/538465374.html#_pc

Wenn meine Befürchtung stimmt, dann sind allerdings auch die anderen Rechner im Netz mehr als gefährdet.

Auch diese Symptome ließen sich damit erklären, dass dieser Computer "anderweitig" beschäftigt ist:
der Netzwerkzugriff von und zu einem von 4 vernetzten Computern ist kaum mehr möglich (extrem langsam oder Abbruch mit "Netzwerk ausgelastet" oder "Netzwerkressource nicht mehr zur Verfügung")

Das, was ich hier angemerkt habe, muss nicht bei dir tatsächlich vorliegen.

Aber diese Möglichkeit ist leider angesichts der uns bekannten Tatsachen nicht von der Hand zu weisen.

Gruß
Shrek3

Fatal ist mir um das Lumpenpack, das, um Herzen zu rühren, den Patriotismus trägt zur Schau, mit all seinen Geschwüren. Heinrich Heine
bei Antwort benachrichtigen
komasurfer shrek3 „Was mir gar nicht gefällt, dass es auf dem fragwürdigen Rechner nicht mehr...“
Optionen

Hallo shrek3,
genau das ist, was ich eben auch befürchtet habe.
Allerdings macht mich dabei folgendes stutzig:

1. Ich sehe im HiJackThis-Log keinen Hinweis darauf (siehe Log-Text am Ende dieses Beitrags)
Der oberste Eintrag (R1) ist wohl Malware - komisch nur, das mir keine andere Startseite, als die gewollte Google-Seite angezeigt wird und weder Spybot noch sonst ein Scanner mir diesbzgl. eine Meldung ausgegeben hat.
Den Eintrag habe ich inzwischen gefixt.

2. Ich habe jetzt jeden Tag Netstat immer mal wieder laufen lassen und keine weiteren "Geisterverbindungen" mehr gesehen.

3. Eigentlich hätte doch wenigstens eines der Virenprogramme einen Backdoor-Trojaner oder sowas finden müssen, oder?

4. Im Teledat Router ist eine Firewall aktiv (Stateful Inspection, DoS-Schutz, NAT). Außerdem verstecken sich die Computer des Netzwerks sozusagen hinter dem Router. Das heißt doch, dass, wenn überhaupt, nur entweder alle oder keiner der Rechner fremdbenutzt werden könnte/würde, oder? (Immer vorbehaltlich, dass ich die Router-Beschreibung und -Konfiguration richtig verstanden habe...)

Wie kann ich entsprechende Bot-Aktivitäten sicher verifizieren, d. h. sichtbar machen oder aufspüren?
Es müsste doch dann eine Möglichkeit geben, sie zu blockieren. Wie?

Habe gerade Spybot laufen lassen, hat nur ein paar Cookies und "diskussionswürdige" Traces gefunden, die ich alle gelöscht habe.
Allerdings weist Spybot unter "Systemstart" folgenden aktivierten Eintrag aus, der mir unter msconfig/Autostart nicht angezeigt wird:
Schlüssel: WinLogon (C:\WINDOWS\system.ini)
Wert: Shell
Kommandozeile: Explorer.exe
Klicke ich das Fenster mit Zusatzinformationen für diesen Eintrag an, erscheint eine ganze Latte mit Hinweisen, die auf verschiedene Malware-Aktivitäten dieses Eintrags hindeuten, mit Alias-Dateinamen, falschen Pfaden etc. Es geht aber nicht eindeutig daraus hervor, ob genau dieser Eintrag nun zu den "falschen" gehört oder nicht. Frage ist also: Kann ich den Autostart-Eintrag hier deaktivieren, oder zerschieße ich mir dadurch den Systemstart, weil dann der "echte" Explorer oder sonst was wichtiges nicht gestartet wird?
(Es gibt übrigens auf dem Computer in Windows nur eine explorer.exe, direkt im Windows-Verzeichnis)

Gruß
komasurfer
------------------------------------------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:05:28, on 27.10.2008
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MDM.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\EPSON\EBAPI\SAGENT2.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\NORTON UTILITIES\NPROTECT.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\WBEM\WINMGMT.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\HIJACKTHIS202\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://81.211.105.43/search.php?v=5
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.com
O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\PROGRAMME\DAP\DAPBHO.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_16\bin\ssv.dll
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\PROGRAMME\DAP\DAPIEBAR.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [NPROTECT] C:\Programme\Norton Utilities\NPROTECT.EXE
O4 - HKLM\..\Run: [MSConfigReminder] C:\WINDOWS\SYSTEM\msconfig.exe /reminder
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [SAgent2ExePath] C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O4 - HKCU\..\Run: [MCW Startup] "C:\PROGRAMME\MONITOR CALIBRATION WIZARD\MCW.EXE" /s
O4 - HKUS\.DEFAULT\..\Run: [MCW Startup] "C:\PROGRAMME\MONITOR CALIBRATION WIZARD\MCW.EXE" /s (User 'Default user')
O4 - .DEFAULT Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe (User 'Default user')
O4 - .DEFAULT Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\SYSTEM\E_SRCV02.EXE (User 'Default user')
O4 - Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\SYSTEM\E_SRCV02.EXE
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmsearch.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmsimilar.html
O8 - Extra context menu item: Backward &Links - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR2.DLL/cmbacklinks.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRAMME\JAVA\JRE1.5.0_16\BIN\SSV.DLL
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRAMME\JAVA\JRE1.5.0_16\BIN\SSV.DLL
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.com
O16 - DPF: {CAFEEFAC-0014-0000-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.0_01) -
O18 - Filter hijack: text/html - {4F7681E5-6CAF-478D-9CB8-4CA593BEE7FB} - (no file)

bei Antwort benachrichtigen
komasurfer Nachtrag zu: „Hallo shrek3, genau das ist, was ich eben auch befürchtet habe. Allerdings...“
Optionen

@csherwinski:
Reinstallation der Netzwerkkarte leider ohne Effekt...

bei Antwort benachrichtigen
gelöscht_189916 komasurfer „@csherwinski: Reinstallation der Netzwerkkarte leider ohne Effekt... “
Optionen

Hallo

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = http://81.211.105.43/search.php?v=5
R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.google.de/
R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://www.medion.com

Die Einträge kannst Du in der Registry oder im IE direkt löschen.
Der erste ist schon merkwürdig, da nur eine direkte IP angegeben ist und kein Name, denn Search Bar ist ja eigentlich die Sucheingabe im Browser oben rechts, da müßtest Du ja wissen, was dort als Suchmaschine eingestellt ist.
Im Zweifel löscht Du die Einträge einfach mal in der Registry, wenn sie sich wieder selbst eintragen, ist auf jeden Fall was faul.
(Habe gerade noch mal gelesen, hast Du ja schon)

Aber für Deinen Problemrechner ist gar keine Netzwerkkarte angegeben, müßte da nicht auch ein Realtek-irgendwas erscheinen?

fakiauso

bei Antwort benachrichtigen
shrek3 gelöscht_189916 „Hallo R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar...“
Optionen

Näheres zur ersten IP-Adresse:

http://centralops.net/co/DomainDossier.aspx

Gehört zu Sovintel in St. Petersburg (Russland) - was immer das auch heißen mag.

@ komasurfer
Spricht etwas dagegen, das System neu aufzusetzen?
So oder so ist ja mit diesem Rechner nicht alles in Ordnung.

Trojaner lassen sich nur bedingt völlig aufspüren, da gut programmierte Schädlinge Schutzprogramme täuschen können.

Und selbst, wenn du nicht infiziert bist, bleiben dann ja immer noch die Probleme des Rechners ungelöst.

Ich halte es für zeit- und nervensparender, hier einen Schlussstrich zu ziehen.

Gruß
Shrek3

Fatal ist mir um das Lumpenpack, das, um Herzen zu rühren, den Patriotismus trägt zur Schau, mit all seinen Geschwüren. Heinrich Heine
bei Antwort benachrichtigen
komasurfer shrek3 „Näheres zur ersten IP-Adresse: http://centralops.net/co/DomainDossier.aspx...“
Optionen

Hallo,
puh, seit gestern funktioniert der Netzwerkzugriff wieder wie gewohnt.
Was ist passiert?
Ehrlich gesagt, ganz genau weiß ich es nicht.
Ich habe eine ganze Reihe von Dingen gemacht: u. a. alles von der C-Platte geschmissen, was problemlos wieder regeneriert werden konnte und dann nochmal Scandisk und Defragmentierung laufen lassen.
Entscheidend war aber, glaube ich, etwas anderes - zur Erklärung muss ich etwas ausholen:

Am Teledat-Router blinkten die LEDs der beiden Ports (1 und 2 von 4), an denen zum einen der Problemrechner und zum anderen die drei anderen Rechner hängen, immer schnell. Ich bin davon ausgegangen, dass das bedeutet, dass beide Ports aktiv sind, im Sinne von "in Betrieb". Tatsächlich unterscheidet die Anzeige aber in
1. Stetig leuchtend = Verbunden
2. Schnell blinkend = Daten werden mit 100 Mbit übertragen.
Der Router zeigte mir also an, dass ständig auf beiden Ports Daten übertragen wurden, auch wenn die Rechner gar nicht im Netz aktiv waren.
Zog ich den Stecker vom Port mit den drei funktionierenden Rechnern, erlosch dessen LED, während die vom Problemrechner-Port weiter schnell blinkte.
Zog ich den Stecker vom Problemrechner-Port, erlosch dessen LED und die LED für die drei anderen Rechner wurde augenblicklich ruhig und blinkte nur noch, wenn tatsächlich willentlich Daten übertragen wurden.
Dies hätte jetzt also die These bestärkt, dass der Problemrechner botmäßig gekapert worden war, die anderen Rechner allerdings nicht.
Ich habe dann den Problemrechner an den letzten Port (Nr. 4) umgesteckt.
Daraufhin blinkte die entsprechende LED wieder schnell, die LED am Port für die anderen Rechner aber zuckte nur noch kurz in längeren, relativ regelmäßigen Abständen. Und: Der Netzwerkzugriff funktionierte wieder!

Abgesehen von der Tatsache, das der Rechner laut LED-Anzeige ja jetzt immer noch scheinbar pausenlos Daten überträgt, verstehe ich folgendes nicht:
Sowohl in der ursprünglichen Steck-Konfiguration, wie auch jetzt, sind die LED-Anzeigen immer wie beschrieben aktiv - auch wenn sämtliche Rechner ausgeschaltet sind...
- Kann ein gekaperter Rechner auch im ausgeschalteten Zustand botmäßig benutzt werden?
- Kann allein der Router gekapert und benutzt werden? Macht das Sinn?
Kann sich irgendwer einen Reim drauf machen?

Noch traue ich dem Frieden nicht so recht.
Vielen Dank aber jedenfalls an alle für das Engagement und die vielen Tipps!!!
LG
komasurfer

bei Antwort benachrichtigen
gelöscht_189916 komasurfer „Hallo, puh, seit gestern funktioniert der Netzwerkzugriff wieder wie gewohnt....“
Optionen

Hallo komasurfer

Ausgeschaltet ist so eine Frage, wenn der Rechner nur heruntergefahren ist, aber weiter über das Netzteil Spannung hat, leuchten auch die LED am Router, da sonst ein Wake-On-LAN z.B. nicht funktionieren würde, also braucht die Netzwerkkarte Spannung, deshalb leuchtet auch die LED des betreffenden Rechners am Router/Switch weiter.
Trennst Du Rechner vom Netz sollte auch die jeweilige LED ausgehen.
Ein ausgeschalteter Rechner kann nicht als Bot mißbraucht werden, wird aber beim Einschalten wieder aktiv, inwieweit jetzt ein Bot gelegentlich oder ständig mißbraucht wird, hängt wohl eher von den Kameraden auf der anderen Seite ab.
Auch ein Router kann geknackt werden, wenn erst einmal ein Rechner gekapert ist, sitzt der Bot hinter dem Router und kann ergo auch Tastatureingeben etc. mitloggen beim Zugriff auf den Router, über DSL fallen die wenigen kb einer solchen Logdatei gar nicht auf.
Da der Rechner sofort wieder aktiv wird, wenn Du ihn verbindest, ist das m.E. ein deutliches Zeichen, das bei Dir noch nicht alles i.O. ist.
In dem Fall rate ich Dir wie Shrek3 eindringlich, den Rechner neu aufzusetzen, sonst bekommst Du keine Ruhe.
Ein einmal befallener Rechner ist nie wieder als sicher anzusehen.
Ebenso ist es sinnvoll, den Router nach der Neuinstallation vom Netz zu nehmen und neu einzurichten mit Paßwort usw., da Du ja nicht sicher sein kannst, das diese Daten nicht auch irgendwo herumkurven, hinterher kannst Du noch die aktuellste Firmware aufspielen, wenn Du es noch nicht gemacht hast.
Unter den alten Betriebssystem ist allerdings mit NetBIOS ein Einfallstor zwangsläufig aktiv, soweit ich weiß, geht aber Netzwerk unter Win98/ME nicht ohne.
Der Einfachheit halber kannst Du natürlich auch den kranken Rechner mal von CD mit Knoppix oder Ubuntu booten, wenn die Netzwerkkarte dann auch verrückt spielt, ist sie evtl. doch nur kaputt.
Wenn es damit läuft, solltest Du allerdings Deine Aufgabe kennen, da ein Bot-Rechner auch andere PC infizieren kann, es hat keinen Sinn, da noch auf eine Selbstheilung zu hoffen.

bei Antwort benachrichtigen